.AL TLD DNSSEC 장애 발생, 1.1.1.1 EDE 33으로 투명성 확보

by DD
8시간 전
조회수 0

알바니아 .AL TLD에서 발생한 DNSSEC 키 롤오버(Key Rollover) 실패로 인해 전체 도메인 접속 불가 현상 발생

Cloudflare의 1.1.1.1 리졸버는 네거티브 트러스트 앵커(NTA)를 적용하여 DNSSEC 유효성 검사를 일시 중단하고 서비스 복구 시도

DNSSEC 유효성 검사 우회 사실을 알리기 위해 확장 DNS 오류(EDE) 코드 33을 도입하여 투명성 확보

DNSSEC 롤오버 실패의 근본 원인 분석

알바니아 .AL TLD에서 발생한 DNSSEC 키 롤오버 실패는 체인 오브 트러스트(Chain of Trust)의 단절로 인해 발생했다. .AL 운영자가 새로운 DNSKEY를 게시하고 기존 키를 중단했으나, 루트 존(Root Zone)의 DS 레코드(DS Record)가 이전 키를 계속 참조하면서 검증 실패로 이어졌다. 이후 운영자가 DNSKEY를 완전히 제거하고 루트 존의 DS 레코드까지 삭제하면서 .AL 도메인은 DNSSEC 보호 기능을 상실한 채 복구되었다. 이는 DNSSEC의 핵심 메커니즘(Core Mechanism)인 신뢰 체인 관리의 중요성을 보여주는 사례이다.

네거티브 트러스트 앵커(NTA)의 역할과 한계

DNSSEC 유효성 검사 실패 시, 1.1.1.1과 같은 리졸버는 네거티브 트러스트 앵커(Negative Trust Anchor, NTA)를 설치하여 해당 존(Zone)을 서명되지 않은 것으로 간주하고 검증을 우회한다. 이는 RFC 7646에 정의된 메커니즘으로, 서비스 중단을 막는 데 효과적이다. 하지만 NTA 적용 시 DNS 스푸핑(DNS Spoofing) 공격에 대한 보호 기능이 일시적으로 비활성화된다는 명확한 트레이드오프가 존재한다. .AL 사건에서 NTA는 약 3시간 동안 적용되었으며, 이 기간 동안 .AL 도메인은 DNSSEC의 보안 이점을 누리지 못했다.

확장 DNS 오류(EDE) 코드 33 도입의 의의

기존 NTA 적용 시 DNS 응답만으로는 유효성 검사가 우회되었는지 클라이언트가 알 수 없었다. RFC 8914의 확장 DNS 오류(Extended DNS Error, EDE) 코드를 활용하여, 1.1.1.1은 NTA 적용 시 EDE 33 (Negative Trust Anchor) 코드를 함께 반환하기 시작했다. 이는 DNS 응답에 대한 투명성(Transparency)을 제공하여, 응답이 DNSSEC 검증을 거치지 않았음을 명확히 신호한다. 이로써 사용자와 운영자는 응답의 신뢰도를 더 정확히 판단할 수 있게 되었다.

DNSSEC 장애 발생 시 운영자의 대응 전략

TLD 레벨의 DNSSEC 장애는 해당 TLD 아래의 모든 도메인에 동시적으로 영향을 미친다. .AL 사건은 .DE 사건에 이어 발생했으며, 이는 운영 도구로서 NTA의 필요성을 재확인시켜준다. 장애 발생 시 운영자는 직접적인 연락 시도와 커뮤니티 알림 후, 서비스 가용성(Service Availability)을 우선하기 위해 NTA 적용을 고려해야 한다. 이후 근본 원인 해결 및 루트 존의 DS 레코드 복구 또는 제거를 통해 정상 상태로 복귀시킨다. NTA는 일시적인 완화 조치(Temporary Mitigation)로 사용되어야 한다.

DNSSEC와 EDE 코드의 향후 발전 방향

이번 .AL 사건과 EDE 33 도입은 DNSSEC의 안정성과 투명성을 높이기 위한 중요한 진전이다. EDE 33은 현재 인터넷 초안(Internet-Draft) 단계이며, IETF DNSOP 워킹 그룹에서 논의될 예정이다. Quad9의 협력과 Knot DNS, Unbound 등 주요 리졸버 구현체의 지원은 표준화(Standardization) 및 광범위한 채택을 위한 발판이 될 것이다. 궁극적으로 이는 DNS 인프라의 보안성과 신뢰성(Security and Reliability)을 강화하는 데 기여할 것으로 기대된다.

A broken DNSSEC rollover took down .AL. Now 1.1.1.1 tells you when validation is bypassed